image

Trackingbedrijven zetten in op gebruik van first-party trackers

maandag 25 november 2019, 10:27 door Redactie, 16 reacties

Nu verschillende browsers standaard het gebruik van third-party trackingcookies blokkeren zetten trackingbedrijven in op het gebruik van first-party trackers om internetgebruikers te volgen. Er zijn op dit moment al zes grote trackingbedrijven die deze tactiek toepassen, zo meldt dns-provider NextDNS.

Voorheen plaatsten webtrackers en advertentiebedrijven die als derde partij actief op een website waren van een ander domein cookies bij gebruikers. Aangezien deze cookies van een ander domein dan het bezochte domein afkomstig zijn worden dit third-party cookies genoemd. Via third-party cookies is het eenvoudig om gebruikers over het web te volgen, omdat de derde partij die via allerlei sites kan plaatsen en zo kan zien welke websites een gebruiker bezoekt.

Safari en Firefox besloten daarop om third-party cookies standaard te blokkeren. Derde partijen die op een website actief zijn kunnen daardoor geen cookies meer bij gebruikers van deze browsers plaatsen. Verschillende trackingbedrijven hebben een oplossing gevonden in het gebruik van first-party trackers. De bedrijven vragen websites om een subdomein aan te maken. Vervolgens wijst dit subdomein naar het domein van de adverteerder of tracker.

Doordat het subdomein in de context van het bezochte domein valt, worden de cookies van dit subdomein door de browser geaccepteerd, ook al gaat het eigenlijk om cookies van een derde partij. Zodoende weten trackingbedrijven third-party trackingcookies als first-party trackers te vermommen. Verschillende trackingbedrijven vragen hun klanten ook om voor dit doeleinde een subdomein aan te maken.

De werkwijze wordt "dns delegation", "dns aliasing" of "cname cloaking" genoemd. Volgens NextDNS is het zeer schadelijk, omdat internetgebruikers op deze manier toch zijn te volgen. Door het gebruik van fingerprinting, waarbij er aan de hand van het systeem van de gebruiker een uniek profiel wordt aangemaakt, zijn gebruikers vervolgens toch door een trackingbedrijf op meerdere websites te identificeren.

NextDNS stelt dat er op dit moment zes trackingbedrijven zijn die met first-party trackers werken. Het gaat om Adobe Marketing Cloud, Criteo, Commanders Act, Eulerian, At Internet en Keyade. Grote websites zoals foxnews.com, walmart.com, bbc.co.uk, washingtonpost.com, weather.com en cnn.com maken gebruik van dergelijke trackers. Inmiddels kan de uBlock Origin-extensie voor Firefox first-party trackers detecteren en blokkeren. De oplossing is echter alleen beschikbaar voor Firefox en kan voor het trager laden van websites zorgen, aldus NextDNS.

Image

Reacties (16)
25-11-2019, 11:12 door Anoniem
Lekkere jongens, zelfs als je duidelijk maakt dat je iets niet wilt worden er weer pogingen ondernomen om dit in je maag te splitsen. Getuigt weer van weinig respect voor de gebruiker. Bang voor hun boterham...
25-11-2019, 11:40 door johanw
Dan kan Firefox beter de nucleaire optie inzetten: adblocker standaard aan, zodat dit soort grappen geen extra winst meer oplevert.
25-11-2019, 12:45 door Anoniem
Bedankt voor dit bericht redactie!
Ik heb meteen uBlock geïnstalleerd.
25-11-2019, 12:54 door Anoniem
Wie de klant niet respecteert, verdient geen klanten. Punt, uit.

Ware Firefox en Cliqz Internet (ook firefox gebaseerd) er niet,
had men op alle browsers zowat allemaal door Google gedirigeerd inmiddels,
(Chrome, Chromium met gelijke engines ingericht)
je als het niet rechtsom kan, nu linksom kunnen tracken.

Google heeft in de browser hier geen api voor om dit te stoppen en willen dat ook niet,
ze willen desnoods nog veel verder gaan ten behoeve van hun heilige core business.

Kijk, dit is nu een prachtige gelegenheid om dit soort van respectloze commercie aan de schandpaal te nagelen
en het juiste moment voor EU om iets te doen. Het blijft weer oorverdovend stil uit die hoek.

In hoeverre blokkeert Privacy.badger extensie dit soort zooi?

Niet voor niets cookienator geinstalleerd. uMatrix en op de Android Blokada.

Zie voorbeeld: https://webcookies.org/cookies/foxnews.com/1317315

Als men besluit dit ongebreideld door te laten gaan, gaan we nog wat beleven
en wordt het er ook flink onveiliger door, want de cybercrimineel slaapt niet voor de mogelijkheden,
die dit biedt voor misbruik.

luntrus
25-11-2019, 13:01 door Reinder
Door Anoniem: Lekkere jongens, zelfs als je duidelijk maakt dat je iets niet wilt worden er weer pogingen ondernomen om dit in je maag te splitsen. Getuigt weer van weinig respect voor de gebruiker. Bang voor hun boterham...

Ik weet niet of je het zo moet zien. Sprekende als advocaat van de duivel: die websites die verregaande tracking e.d. toepassen vinden niet dat zij hun gebruikers niet respecteren, die vinden dat de gebruikers hun "dienst" niet respecteren door datgene wat aangeboden wordt (een website vol trackers) aan te passen of niet te accepteren. Er zijn partijen die vinden dat het blokkeren van cookies en trackers, het gebruik van adblockers e.d. verboden zou moeten worden. Zij zijn van mening dat er twee keuzes zouden moeten bestaan: 1) je bezoekt de site op de manier zoals de eigenaar van de website dat wil, d.w.z inclusief trackers en cookies en pop-ups en al die ellende, of 2) je bezoekt de website niet.
Het is in de context van de digitale wereld op Internet natuurlijk vreemd, zeker omdat het zo relatief eenvoudig is om bepaalde delen van een site te maskeren of niet te laden. In de context van de ouderwetse offline wereld is het daarentegen volkomen gangbaar, je kan een auto kopen en daarbij bepaalde keuzes aangeven zoals wel of geen airco, maar je kan niet naar een dealer gaan en een auto eisen zonder dak en zonder motor, de kern van de auto is een take-it-or-leave-it ding. Supermarkten verkopen melk in pakken, je kan ook geen melk krijgen in een witte verpakking zonder het merk en het plaatje van koeien erop. Dergelijke partijen zien hun website ook op die manier, je hebt het maar te slikken as-is, of anders blijf je maar weg.

Zeker als de website een commerciele site is (d.w.z de inhoud wordt te gelde gemaakt, zoals youtube.com, niet een informatieve site van een commerciele partij die slechts klanten wil informeren over locaties en openingstijden e.d, bijv macdonalds.nl) dan is er in die zin ook wat te zeggen voor dat standpunt omdat elk bezoek de website-eigenaar wat kost aan servercapaciteit en bandbreedte, terwijl een bezoeker die geen advertenties ziet hem niets oplevert. Dit is waarom in de fysieke wereld cafe's geen kraanwater schenken of 50c vragen voor het gebruik van het toilet door mensen die geen consumptie hebben gebruikt. De website-eigenaar is iemand die zijn ads blokkeert dus in feite liever kwijt dan rijk, en dan blijven er dus maar twee opties over: of je gaat dit soort maskeringstechnieken gebruiken om toch bezoekers te kunnen tracken, of je gaat gebruikers die je trackers blokkeren de toegang ontzeggen.

Voor de duidelijkheid, om te voorkomen dat ik net zoals de vorige keer toen ik dit punt maakte een barrage aan negatieve reacties krijg dit: ik gebruik zelf ook ad- en script-blockers, en ik ben van mening dat sites die afhankelijk zijn van trackers en zo een verkeerd business-model hebben, en ik vind ook dat meer bedrijven een betaaloptie zouden moeten hebben, een waarbij je dan geen ads en zo meer krijgt. Ik wijs er slechts op dat het standpunt "ik bepaal zelf wel of ik wel of geen ads wil zien" meerdere kanten heeft.
25-11-2019, 13:54 door Anoniem
Van het NextDNS artikel waar hoerboven naar gelinkt is:
And here are a few websites with a large audience that are disguising third-party trackers as first-party trackers using this method:

foxnews.com, walmart.com, bbc.co.uk, go.com, webmd.com, washingtonpost.com, weather.com, fnac.com, fortuneo.fr, liberation.fr, lemonde.fr, oui.sncf, rueducommerce.fr, sfr.fr, pmu.fr, laredoute.fr, boulanger.fr, coach.com, gap.com, anntaylor.com, cnn.com, boursorama.com, arstechnica.com, saksfifthavenue.com, brandalley.fr, greenweez.com, habitat.fr, maeva.com, younited-credit.com, mathon.fr, destinia.com, vente-unique.com, nrjmobile.fr, t-mobile.com, statefarm.com, …

Wat mij schokt is dat ik er zoveel nieuws media bij zie staan die blijkbaar voorop op de bok zitten. Ik kan nog wel behoorlijk begrijpen dat de vrije pers veel te lijden heeft gehad van internet. Dat die journalisten toch ergens van betaald moeten worden.

Anderzijds zie ik er toch een enorme lezershaat uit spreken. En dat vind ik behoorlijk stuitend.

De essentie van de journalistiek is immers dat de journalist het nieuws brengt. Waarop vervolgens elke lezer het zijne of hare ervan kan en mag denken. Net zoals de site hier doet trouwens. Omdat vervolgens zo gretig mee te werken aan het tracken van het individu en het daarmee actief manipuleren wat men nog te denken mag hebben, vind ik volslagen verwerpelijk. Want het gaat niet enkel over welk merk margarine je moet kopen, maar het tracken van het individu wordt net zo gemakkelijk misbruikt voor politieke doelen.

Juist in de tijd van fakenews en onbetrouwbare verkiezingsuitslagen hebben we de onafhankelijke pers weer nodig. De credibility is ver te zoeken. De behoefte aan die vrije en onafhankelijke pers zie ik momenteel enkel maar stijgen.

Zo lees ik graag dagelijks bijvoorbeeld het BBC nieuws. Maar nu ik zie dat die als eersten naar de achterdeur-hoeren zijn gehold om ook mijn mening over wat ik op het BBC nieuws lees te manipuleren, krijg ik bij die BBC toch een heel vies smaakie in mijn bek. Het doet mij oprecht twijfelen aan de journalistieke ethiek van dat bedrijf.

Een EU politicus met geweten (maar liefst 25% van hen heeft dat, dat is eens onderzocht), zou zich daar echt ernstig zorgen over moeten maken. Want als je niks meer kunt vertrouwen wat je leest, dan zijn we evident aan de wilden overgeleverd.
25-11-2019, 14:08 door Anoniem
Door Reinder: Er zijn partijen die vinden dat het blokkeren van cookies en trackers, het gebruik van adblockers e.d. verboden zou moeten worden. Zij zijn van mening dat er twee keuzes zouden moeten bestaan: 1) je bezoekt de site op de manier zoals de eigenaar van de website dat wil, d.w.z inclusief trackers en cookies en pop-ups en al die ellende, of 2) je bezoekt de website niet.
Ik denk dat het woord "bezoeken" eigenlijk een heel slechte analogie is van wat er gebeurt. Als jij een URL in je webbrowser intikt of een hyperlink volgt dan is het zuiverder om te stellen dat jij de website uitnodigt om jou te bezoeken, het is namelijk een request om iets naar je toe te sturen dat vervolgens op jouw computer (dus op bezoek bij jou) wordt omgezet in het beeld van een webpagina.

De vraag is dan of een uitnodiging om je te bezoeken en iets te laten zien ook een uitnodiging is om allerlei vriendjes mee te nemen, die vervolgens ongevraagd weer andere vriendjes uitnodigen, die vaak weer andere vriendjes uitnodigen, en of het binnen die uitnodiging valt als die vriendjes bij je rondkijken, van alles noteren, en al dan niet vermomd ook weer met anderen die je uitnodigt mee blijken te komen zodat ze in de gaten kunnen houden met welke vriendjes jij allemaal praat over welke onderwerpen.

Voor mij is overduidelijk dat dat in de fysieke wereld totaal onacceptabel gevonden zou worden. En het is overduidelijk dat je tegen zo'n website kan zeggen: jij mag komen maar al die ongevraagde vriendjes van je mogen dat niet. En als je op die basis niet wilt komen dan zorg je maar dat je meteen wegblijft.

Dergelijke partijen zien hun website ook op die manier, je hebt het maar te slikken as-is, of anders blijf je maar weg.
Dan kunnen ze regelen dat het zo werkt, er zijn websites die dat doen. Het feit dat een website op mijn computer wordt opgemaakt ("rendered"), en het feit dat een website opdracht geeft aan mijn webbrowser om dingen op te halen zonder mij te vragen of ik het daar wel mee eens ben, dat maakt dat het anders is.

Bij alle voorbeelden die je gaf uit de fysieke wereld is het niet zo dat de makers van de verpakkingen en andere onderdelen inzicht hebben in bij wie hun maaksels terecht komen, laat staan dat ze je doen en laten in kaart kunnen brengen. De vergelijking gaat dus alleen op als je naar de vormgeving van het geheel kijkt en daarbij overslaat hoe het werkt. Als ze zich nou tot die vormgeving zouden beperken en tracking e.d. gewoon niet gedaan zou worden dan zouden we hier niet eens een discussie over hebben.

Maar er wordt wel druk van tracking gebruik gemaakt, het feit dat het web anders werkt dan de fysieke wereld wordt volop geëxploiteerd. Dat maakt dat de vergelijking niet opgaat. We én doet alsof het een op een op de fysieke wereld af te beelden is én tegelijk gebruik maakt van het feit dat het wezenlijk anders werkt voert geen eerlijke discussie.
25-11-2019, 14:22 door Anoniem
De werkwijze wordt "dns delegation", "dns aliasing" of "cname cloaking" genoemd. Volgens NextDNS is het zeer schadelijk, omdat internetgebruikers op deze manier toch zijn te volgen. Door het gebruik van fingerprinting, waarbij er aan de hand van het systeem van de gebruiker een uniek profiel wordt aangemaakt, zijn gebruikers vervolgens toch door een trackingbedrijf op meerdere websites te identificeren.
Dit was als voorbeeld gegeven:

$ host f7ds.liberation.fr
f7ds.liberation.fr is an alias for liberation.eulerian.net.
liberation.eulerian.net is an alias for atc.eulerian.net.
atc.eulerian.net has address 109.232.197.179

f7ds.liberation.fr is (indirect) een alias van atc.eulerian.net. Als mensen via deze constructie over meerdere websites te volgen zijn dan geldt kennelijk dat:

• de cookies als first-party worden toegestaan omdat ze van *.liberation.fr komen;
• maar de cookies in de browser worden opgeslagen bij atc.eulerian.net, anders zouden aliassen vanuit meerdere domeinen niet tot het delen van de cookie kunnen leiden.

Als webbrowsers zo werken vind ik dat inconsistent. Als je een cookie toestaat omdat hij vanaf een subdomein van liberation.fr is geplaats, koppel hem dan ook aan liberation.fr en niet op basis van de aliassen (cnames) aan eulerian.net. Die laatste koppeling zou alleen bij het toestaan van third party cookies gelegd moeten worden.

Daarmee zou cross-domain tracking eigenlijk op een simpele manier geblokkeerd moeten kunnen worden, zonder dat daarvoor add-ons nodig zijn.

Dit lost niet alle problemen op. Als eulerian.net toegang tot de sessie-cookie van een bezoeker van liberation.fr krijgt dan kan het de profielgegevens van gebruikers opvragen. Als ze dat ook werkelijk zouden doen zouden ze wel eens heel snel ruzie met Liberation en andere klanten kunnen krijgen, dat hoop ik althans, maar het is al niet best als die deur niet expliciet dicht is gezet. Maar ik denk dat dat een fout in de website is, niet in de browser.
25-11-2019, 15:01 door Anoniem
De vraag is of het voor een krant of een webshop site of wat dan ook mogelijk moet zijn
om aan elke data-scheet van een eventuele bezoeker, die zo'n scheet laat, te willen verdienen.

Bij vele bezoekers tegelijk gaat het daarbij om exorbitante bedragen.
Daarom will Big Data Tech dit geld koste wat het kost niet kwijtspelen.

De Google gebruikers, die het bovenstaande tracken niet interesseert
en alle tracking rotzooi zonder er maar een seconde over na te denken (want gratis) accepteren,
houden dit verdien-circus, deze core business ten koste van alles, in stand.

Stakeholders en lobbyisten en er mee heulende politici en zelfs ook surveillance-diensten &
-lichamen houden deze gang van zaken in stand.

Natuurlijk kan er een ander verdienmodel worden opgesteld
(zoals blockchain puntensysteem bij elk bezoek voor de developer en content-producent die gewaardeerd wordt).

Dat is eerlijker, niet zo stiekem en transparanter of nog iets meer in balans en eerlijker),
maar dan moeten de grote tracking dinosaurussen eerst het loodje gaan leggen
en dat doen ze m.i. alleen ten koste van een eventuele online WO III desnoods.

USA geeft haar dominantie op de wereldmarkt positie niet zonder slag of stoot op.
Ook niet het tracken van iedereen en alles.
Hoe zouden anders denktanks aan hun info moeten komen om de boel te kunnen manipulieren?

Hoe had men anders 6 MSM media kanalen tegen 1 (fox dot news)
in deze steeds verder "gespeleten" wereld der meningen bij de globale media outlets?

De divergentie wordt op den duur zo diametraal, dat het ergens op uit moet draaien.
Dit kan volgens mij niet uitblijven. Men wil tot het gaatje gaan en dan gebeuren er dus zulke dingen.

Wanneer is het punt dan daar, dat de spreekwoordelijke mest tegen de ventilators gaat spetteren?
Of gaan we weer langzaam terug naar een modern soort Digitale Middeleeuwen,
waarbij we allemaal verplicht moeten huilen als dat van ons evraagd wordt,
net als in de tijd na Stalin's dood? Als je niet voor de klas huilde, was je al verdacht
en volgde er repressie. Of worden we emotieloze stakkers?

De tijd zal het leren, first sub-domain trackers of niet.

Jodocus Oyevaer
25-11-2019, 15:31 door Anoniem
@ anoniem van 14.22

Met deze gang van zaken, bedoeld of onbedoeld, zet men toch ook de deur open voor meer cybercrimineel misbruik?

Waar begint het gesjoemel van de legitieme tracker en houdt het misbruik van de cybercrimineel op?
USA Data Grabbing begint steeds meer op een legitiem soort Scam Formula te lijken.

Wordt er niet opnieuw een grijs gebied geopend met verdere ondergaving van het begrip TRUST op Interwebz?
Blijkt hieruit niet, dat je deze globale Data Grabbers nooit meer op hun blauwe ogen kan vertrouwen?

Kunnen eventuele EU maatregelen hiertegen worden opgevat als een handelsoorlog door de USA?
Ze zijn er "greedy & arrogant" genoeg voor.

J.O.
25-11-2019, 15:51 door Anoniem
Door Anoniem: krijg ik bij die BBC toch een heel vies smaakie in mijn bek. Het doet mij oprecht twijfelen aan de journalistieke ethiek van dat bedrijf.

In tegenstelling tot de NPO is de BBC.com wel al te benaderen met HTTPS-over-Tor, middels hun Tor .onion adres. In dat geval heeft zelfs first-party tracking door de BBC weinig tot geen zin meer. Daar kan NPOstart.NL nog wat van leren.

https://www.bbcnewsv2vjtpsuy.onion/
25-11-2019, 16:13 door Anoniem
Voor de gene op Chrome de tool Scriptsafe kan first party tracking blokkeren.
https://chrome.google.com/webstore/detail/scriptsafe/oiigbmnaadbkfbmpbfijlflahbdbdgdf?hl=en

Paar aantekeningen:
Scriptsafe wantrouwt standaard alles. Je zult dus in begin zelf veel regels moeten definiëren.
Verder het herkent niet dat de firstparty subdomeinen unwanted zijn. Het blokkeert echter deze wel standaard.
Je bent dus zelf aangewezen op het uitzoeken welke wel en niet toe moet laten. Dit is niet een fire and forget tool.

Subdomeinen worden middels een globale regel gewhitelist of geblokkeerd.
Je kan echter een regel altijd overrulen voor de duur van je browser sessie.

Scriptsafe en Youtube liggen altijd in de klink vooral met fingerprint protection. Dit is de enige website waarbij je meestal expliciet moet whitelisten. Wil je youtube tracking inperken zonder functie verlies binnen youtube zelf ben je wel paar uurtjes zoet.

Je kunt het naast alle bestaande privacy tools draaien. Heb zelf naast uBlock, Disconnect, Privacybadger en Canvas Fingerprint Defender staan.
25-11-2019, 17:40 door Anoniem
Op Mac os Linux kun je freetube installeren
Gewoon ingeven op je search hoe freetube installeren op ubuntu os
dan regeltjes kopieren in terminal
Dan kun je youtube kijken zonder tracking
ander optie is invidious gaat ook
25-11-2019, 21:39 door Anoniem
Ik ben niet verbaasd dat de trackingbedrijven 1st party cookies zijn gaan gebruiken. De geldkraan moet immers blijven stromen. De volgende stap is dat de trackingbedrijven geen eigen cookies meer gebruiken, maar gewoon een api gaan leveren aan de websites waarop deze websites alle informatie gaan leveren over hun "klanten". Dan kunnen ze nog steeds iedereen volgen.
Als dat niet mag volgens AVG, mag het plaatsen van eigen 1st party cookies of van 3rd party coookies ook niet.
26-11-2019, 10:00 door Anoniem
Dan kun je youtube kijken zonder tracking
Nog beter is om eens af te vragen of youtube echt wel zo interessant is en als dat niet is gewoon stoppen daar mee.
Ik heb helemaal niets met die socialemedia en echt niet het gevoel dat ik iest mis. Doe ook niet mee met kudde grdrag.
26-11-2019, 10:22 door Anoniem
Doordat het subdomein in de context van het bezochte domein valt, worden de cookies van dit subdomein door de browser geaccepteerd, ook al gaat het eigenlijk om cookies van een derde partij. Zodoende weten trackingbedrijven third-party trackingcookies als first-party trackers te vermommen.

Maar wat heeft dat voor zin? Dan kunnen ze immers NIET meer de gebruikers volgen over het hele internet, want deze
cookies worden alleen terug gestuurd naar de site waar ze ook zijn aangemaakt, i.t.t. third-party cookies die op een heel
andere site ineens ook weer gebruikt kunnen worden waardoor je een gebruiker kunt volgen tussen diverse sites.
Wat je nu hebt (met zo'n CNAME en first-party cookie) is gewoon hetzelfde als ieder ander bezoekers statistiek systeem
en geen "manier om mensen te volgen".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.